La trasformazione digitale della sanità, accelerata negli ultimi due decenni, ha aperto una nuova frontiera della vulnerabilità. Cartelle cliniche elettroniche, dispositivi connessi, telemedicina e infrastrutture cloud hanno reso i sistemi sanitari più efficienti e interconnessi, ma anche più esposti. Oggi, un ospedale non è soltanto un luogo di cura: è un nodo critico di una rete digitale complessa, e proprio per questo un bersaglio strategico. La sanità è diventata uno dei settori più colpiti dal cybercrime a livello globale, con implicazioni che vanno ben oltre la dimensione tecnologica e toccano sicurezza, stabilità sociale e geopolitica.

I dati confermano la portata del fenomeno. Secondo IBM Security, nel 2023 il settore sanitario ha registrato il costo medio più alto per violazione dei dati, pari a circa 10,93 milioni di dollari per incidente, il valore più elevato tra tutti i settori economici (IBM Cost of a Data Breach Report, 2023). Questo dato riflette non solo la frequenza degli attacchi, ma anche la criticità delle informazioni coinvolte. I dati sanitari sono tra i più sensibili e completi: includono identità, storia clinica, informazioni finanziarie e, sempre più spesso, dati genetici. Sul mercato nero, una cartella clinica può valere fino a 10 volte più di una carta di credito (FBI Cyber Division, 2022).

Negli ultimi anni, gli attacchi ransomware contro ospedali e sistemi sanitari sono cresciuti in modo esponenziale. Nel 2022, oltre il 60% delle organizzazioni sanitarie a livello globale ha subito almeno un attacco ransomware (Sophos, State of Ransomware in Healthcare, 2023). Negli Stati Uniti, più di 40 milioni di pazienti sono stati coinvolti in violazioni di dati sanitari nel solo 2023 (U.S. Department of Health and Human Services, 2024). Questi numeri non rappresentano soltanto un problema di sicurezza informatica, ma una minaccia diretta alla continuità dei servizi essenziali.

Un bersaglio ideale della guerra ibrida

Gli effetti di un attacco cyber in ambito sanitario sono immediati e tangibili. Quando un ospedale viene colpito da ransomware, sistemi critici come sale operatorie, laboratori e pronto soccorso possono essere paralizzati. Durante l’attacco al sistema sanitario irlandese nel 2021, ad esempio, l’intera rete nazionale è stata costretta a sospendere gran parte delle attività per settimane, con migliaia di appuntamenti cancellati e ritardi nelle cure (Irish Health Service Executive, 2021). Studi successivi hanno mostrato che attacchi di questo tipo possono aumentare la mortalità ospedaliera, a causa di ritardi nelle diagnosi e nei trattamenti (Journal of the American Medical Association, 2022).

Questa dimensione rende il settore sanitario un bersaglio ideale nella cosiddetta guerra ibrida. A differenza delle infrastrutture energetiche o militari, gli ospedali sono vulnerabili, difficili da difendere completamente e altamente sensibili dal punto di vista sociale. Un attacco che blocca un sistema sanitario non solo crea danni economici, ma genera panico, perdita di fiducia nelle istituzioni e pressione politica immediata. È una forma di coercizione indiretta, che colpisce la popolazione civile senza ricorrere a mezzi militari convenzionali.

Nel contesto geopolitico attuale, attori statali e gruppi sponsorizzati da Stati giocano un ruolo sempre più rilevante. Gli Stati Uniti hanno ripetutamente accusato gruppi legati alla Russia e alla Corea del Nord di essere responsabili di attacchi ransomware su larga scala, inclusi quelli contro infrastrutture sanitarie (U.S. Cybersecurity and Infrastructure Security Agency, 2023). La Russia, dal canto suo, ha negato coinvolgimenti diretti, sfruttando la cosiddetta “plausible deniability”, una caratteristica intrinseca del dominio cyber che rende difficile attribuire con certezza un attacco.

Questa ambiguità è uno degli elementi chiave della nuova guerra invisibile. A differenza dei conflitti tradizionali, dove l’aggressore è identificabile, nel cyberspazio l’attribuzione è complessa, spesso incerta e politicamente contestata. Questo riduce l’efficacia della deterrenza: se non è possibile dimostrare con certezza chi ha colpito, diventa difficile rispondere in modo proporzionato. Di conseguenza, il settore sanitario si trova in una zona grigia, esposto a operazioni ostili che difficilmente sfociano in escalation aperte.

Il Covid e gli attacchi cyber

Un altro elemento strategico riguarda il valore dei dati sanitari come asset di intelligence. Le informazioni mediche possono essere utilizzate per molteplici scopi: profilazione di individui, ricatto, manipolazione o persino sviluppo di armi biologiche mirate. Con l’avanzare della genomica, i database sanitari nazionali diventano risorse di enorme valore strategico. Il furto di dati sanitari non è quindi solo un crimine economico, ma può avere implicazioni di sicurezza nazionale.

La pandemia di COVID-19 ha ulteriormente evidenziato queste vulnerabilità. Durante il 2020 e il 2021, gli attacchi cyber contro ospedali e centri di ricerca sono aumentati significativamente, con un incremento superiore al 45% a livello globale (Interpol, 2021). In alcuni casi, gli attacchi hanno colpito direttamente la ricerca sui vaccini, dimostrando come la sanità possa diventare un campo di competizione tra potenze anche in tempo di crisi globale.

Le conseguenze economiche di questi attacchi sono rilevanti. Oltre ai costi diretti – riscatti, ripristino dei sistemi, perdita di dati – esistono costi indiretti legati all’interruzione dei servizi e alla perdita di fiducia. Negli Stati Uniti, si stima che il costo totale del cybercrime nel settore sanitario superi i 6 miliardi di dollari annui (Cybersecurity Ventures, 2024). Ma il dato più significativo è forse quello legato alla resilienza: molti ospedali, soprattutto di piccole dimensioni, non dispongono delle risorse necessarie per investire adeguatamente in sicurezza informatica.

Questo crea una vulnerabilità sistemica. Il sistema sanitario è forte quanto il suo anello più debole, e gli attaccanti tendono a colpire proprio le strutture meno protette per poi espandersi nella rete. La crescente interconnessione tra ospedali, assicurazioni, laboratori e fornitori amplifica questo rischio, trasformando singoli attacchi in crisi sistemiche.

Una nuova area della sicurezza nazionale

Di fronte a questa minaccia, sta emergendo una nuova area della sicurezza nazionale: la difesa sanitaria digitale. Governi e organizzazioni internazionali stanno iniziando a riconoscere la sanità come infrastruttura critica, al pari di energia, trasporti e telecomunicazioni. Negli Stati Uniti, la Cybersecurity and Infrastructure Security Agency ha incluso esplicitamente il settore sanitario tra quelli prioritari per la protezione nazionale (CISA, 2023). L’Unione Europea, attraverso la direttiva NIS2, ha rafforzato gli obblighi di sicurezza per le infrastrutture essenziali, includendo ospedali e sistemi sanitari.

Tuttavia, la risposta è ancora frammentata. La natura transnazionale delle minacce cyber richiede cooperazione internazionale, ma le tensioni geopolitiche rendono difficile costruire regole condivise. Non esistono ancora trattati globali efficaci che regolino gli attacchi informatici contro infrastrutture sanitarie, e il diritto internazionale fatica ad adattarsi a un dominio in continua evoluzione.

In questo contesto, la sicurezza sanitaria digitale diventa una componente essenziale della sovranità. Proteggere i dati e le infrastrutture sanitarie significa proteggere la capacità dello Stato di garantire servizi essenziali e mantenere la fiducia dei cittadini. Al tempo stesso, la capacità di condurre o contrastare operazioni cyber in ambito sanitario può diventare uno strumento di potere nelle relazioni internazionali.

La guerra invisibile dei cyber-attacchi sanitari non è fatta di esplosioni o truppe sul campo, ma i suoi effetti possono essere altrettanto destabilizzanti. Un sistema sanitario paralizzato, anche temporaneamente, può generare caos, aumentare la mortalità e minare la legittimità delle istituzioni. In un mondo sempre più digitalizzato, la linea tra sicurezza sanitaria e sicurezza nazionale si sta rapidamente dissolvendo.

L'articolo Ospedali sotto assedio: la guerra invisibile dei cyber-attacchi sanitari proviene da InsideOver.

Scrollando sui social, vediamo uno strano video in cui Joe Biden, Donald Trump, Vladimir Putin, Kim Jong-un, Xi Jinping, Zelensky, Macron e Netanyahu ballano insieme, si abbracciano e sorridono sul vagone di un treno in corsa; poi un altro video, mandato in una di quelle orribili e infinite catene su Whatsapp, qui un personaggio famoso della tv ci svela un fantomatico “metodo segreto” per guadagnare milioni con un click; e ancora, un video animato di gattini e cagnolini che cantano e ballano in maniera grottesca, assumendo una sinistra sembianza “umana” e magari, persino il volto di qualcuno che conosciamo…

Gli esempi che si potrebbero fare sono migliaia, forse milioni: sono tutti video fatti con l’intelligenza artificiale generativa, ormai sempre più evoluta, tanto da risultare spaventosamente credibile. Questi video sono ovunque, spesso creati senza che i diretti interessati raffigurati abbiano mai espresso un reale consenso all’utilizzo della loro immagine. In alcuni casi si tratta persino di video truffa, nella cui trappola ogni anno centinaia di persone “cascano” ingenuamente, con conseguenze anche piuttosto gravi.

Uno dei problemi del mondo contemporaneo del World Wide Web 2.0, sempre online e interconnesso, sono infatti i DeepFake: neologismo inglese che, come ci spiega la Treccani “dall’espressione inglese deep fake, che incrocia la locuzione deep learning con fake”, sono immagini e soprattutto filmati video “rielaborati e adattati a un contesto diverso da quello originario tramite un sofisticato algoritmo”. In parole povere: video falsi, ottenuti rubando dati, foto, occhi, corpi e volti di persone ignare, dove in alcuni casi si arriva a creare contenuti non solo bislacchi, ma anche illegali e pericolosi, come video sessuali fake o dal contenuto pedopornografico, tutti diffusi via Telegram o sul dark web.

Proteggere la propria immagine online come un marchio

Per la prima volta un Paese europeo ha deciso di limitare tutto questo, prendendo provvedimenti seri e ufficiali: la Danimarca sarà infatti il primo Paese a creare una forma di registrazione del Copyright per i propri cittadini, che potranno iscrivervi i propri tratti somatici, i dettagli del viso, il colore degli occhi, del corpo, dei capelli, come fossero le caratteristiche di un vero e proprio marchio, al fine di impedire una strumentalizzazione a fini di lucro via Internet.

Il Paese scandinavo ha infatti annunciato che entro l’autunno del 2025 entrerà in vigore un nuovo emendamento alla legge sul Copyright, consentendo ai cittadini danesi non solo di registrarsi, ma anche di richiedere la rimozione e un eventuale risarcimento per rappresentazioni non autorizzate di sé, generate con l’intelligenza artificiale, salvo una piccola eccezione per contenuti creati per fini di “satira e parodia”. Secondo questo emendamento, dunque, i social e le piattaforme che violeranno la nuova legge potrebbero incorrere in pesanti sanzioni dirette, laddove le autorità danesi prevedono in futuro di estendere simili provvedimenti anche nel resto dell’Unione europea.

Il progetto è stato presentato dal Ministro della Cultura danese Jakob Engel-Schmidt al Parlamento e il ministro spera che il disegno di legge della Danimarca trasmetta un “messaggio inequivocabile” legittimando il diritto di ognuno a mantenere “il proprio aspetto, il proprio corpo, i lineamenti” proteggendoli, una volta per tutte, dall’IA generativa, anche e soprattutto nel caso di volti noti, di personaggi famosi, politici, artisti e cantanti. Un problema contemporaneo, che fino a qualche anno fa nessuno si sarebbe mai nemmeno sognato, e che sembra uscire direttamente da un immaginario distopico. Eppure, forse, proprio per questo, necessita di soluzioni concrete: il futuro è già qui, ma saremo davvero pronti ad affrontarlo?

L'articolo Contro deepfake e Intelligenza artificiale, la Danimarca vara il copyright sui tratti somatici proviene da InsideOver.

Il 2 dicembre, a Roma, presso il Reparto Sistemi Informativi Automatizzati (Re.S.I.A.) dell’Aeronautica Militare, sono stati presentati i risultati di Cyber Eagle 2024, un’esercitazione di Cyber Warfare e Cyber Security che ha impegnato diverse unità e reparti dell’AM per un periodo superiore a tre mesi coinvolgendo 150 operatori specializzati – militari e civili – impegnati in diversi scenari simulati di attacchi e difesa cibernetica.

L’esercitazione, svolta in collaborazione con Deas (Difesa e Analisi Sistemi), società italiana leader nella sicurezza delle reti, dei sistemi informativi e dei servizi informatici, è stata svolta per continuare sul percorso avviato da oltre un decennio con la finalità di accrescere la consapevolezza, a tutti i livelli della Forza Armata, sulla minaccia cibernetica e testare in modo sempre più esteso la capacità di reagire nel modo più tempestivo ed efficace possibile a realistici tentativi di intrusione su reti e sistemi dell’AM, anche avvalendosi di strumenti basati su tecnologie innovative quali intelligenza artificiale e super calcolo.

La Cyber Warfare sta assumendo un peso sempre crescente nelle operazioni militari e in quei conflitti combattuti “nella zona grigia”, ovvero al di sotto della soglia dello scontro cinetico vero e proprio. Prima dell’avvio dell’invasione russa in Ucraina, si è assistito a diversi attacchi informatici che hanno colpito le reti telematiche di Kiev: il 15 febbraio 2022 un attacco informatico aveva colpito le reti del ministero della Difesa ucraino e di due banche. Quasi esattamente un mese prima, il 14 gennaio, un massiccio attacco informatico aveva messo offline diversi siti web governativi lasciando messaggi che avvertivano il pubblico di “prepararsi al peggio”. In quella occasione più di una dozzina di siti, tra cui quello del ministero del Tesoro, quello del Consiglio per la Sicurezza e la Difesa e i ministeri degli Esteri, dell’Agricoltura e dell’Energia, erano andati offline a causa dell’attacco informatico.

Non è mai del tutto stato chiarito chi abbia orchestrato gli attacchi, ma tutti gli indizi, e soprattutto il corso della storia, fa pensare che sia stata la Russia. L’Ucraina è stata bersagliata più volte: la diffusione del malware NotPetya, nel 2017, contro settori critici ucraini, tra cui reti elettriche, aziende e agenzie governative, ha colpito tutta Europa generando danni per miliardi di euro.

Diversi sono gli attori internazionali che operano aggressivamente nel dominio cyber (Russia, Cina, Iran, Corea del Nord, Israele, USA i principali), e altrettanto multiformi sono le minacce che spaziano dai malware al furto di dati. Ad accomunare però tutti gli attacchi è la difficoltà di attribuzione definitiva di paternità, anche in considerazione del fatto che gli autori materiali sono spesso gruppi di “pirati informatici” (che si nascondono dietro svariate sigle) non direttamente collegati con uno Stato.

Gli odierni assetti militari sono altrettanto a rischio, in quanto connessi tra di loro in un’architettura telematica: oggi il campo di battaglia fisico è gestito in maniera coordinata tramite la condivisione in tempo reale di dati di intelligence raccolti durante lo svolgersi dell’azione, e la condivisione di informazioni avviene capillarmente e coinvolge ogni singolo assetto presente sul teatro (dal soldato, alla nave da guerra, passando per il carro armato, il cacciabombardiere, o lo strumento satellitare). Esiste un nuovo modo di combattere che sfrutta un’architettura telematica diffusa, con diversi terminali, e pertanto ogni terminale, potenzialmente, rappresenta un possibile punto di intrusione per il nemico. Ecco perché una buona parte della Cyber Warfare riguarda proprio la sicurezza delle reti militari e viene svolta non solo dal settore della Difesa in senso stretto ma attraverso un’azione corale e continua con le società specializzate private.

Tornando a Cyber Eagle 2024, l’Aeronautica Militare ha coinvolto 4 reparti nell’esercitazione: la 4ª Brigata Telecomunicazioni e sistemi per la Difesa aerea e l’assistenza al volo, il 36° Stormo Caccia, il ReSIA e il ReGISCC (Reparto Gestione ed Innovazione Sistemi Comando e Controllo). Per la prima volta, con il supporto del Reparto Generale Sicurezza dello Stato Maggiore Aeronautica, è stata messa alla prova tutta l’infostruttura reale della Forza Armata: un approccio innovativo che ha caratterizzato questa edizione, la decima da quando nel 2015 l’AM ha avviato questo progetto di addestramento e formazione avanzata del personale divenuto un modello di partenariato pubblico-privato.

L’esercitazione ha previsto dapprima un’analisi preventiva delle possibili esposizioni critiche sulle fonti aperte, e successivamente due squadre miste contrapposte hanno operato in maniera sinergica su diversi scenari esercitativi: il Red Team ha avuto il compito di simulare il comportamento di un attore malevolo al fine di identificare vulnerabilità dei sistemi informatici e cibernetici non classificati in uso, mentre il Blu Team ha operato in modo trasversale per rilevare tali minacce e reagire in modo tempestivo ed efficace. Nell’esercitazione è stata coinvolta anche un’importante componente operativa dell’Aeronautica, al fine testarne la capacità di difesa da attacchi di tipo cibernetico, ovvero il sistema radar mobile DADR (Deployable Air Defence Radar) della 4ª Brigata Telecomunicazioni e sistemi per la Difesa aerea e l’assistenza al volo di Borgo Piave (Lt), una tipologia di apparati che l’AM utilizza per implementare capacità di comando e controllo lontano dalle basi stanziali in caso di operazioni o esercitazioni complesse.

La più importante novità di quest’anno è stata quella di portare l’esercitazione nel cuore di un reparto operativo di volo ovvero il 36° Stormo Caccia di Gioia del Colle (Ba), andando a condurre – anche in questo caso con il supporto di una società esterna, Intellisync – tentativi di azioni malevole sui sistemi tecnologici di monitoraggio degli assetti cosiddetti Operational Technology (depositi carburanti, infrastrutture elettriche, reti idriche, sistemi connessi ai movimenti aeroportuali dei velivoli etc), quella che in gergo tecnico viene definita la supply chain aeroportuale, per consolidare anche in questo delicato ambito procedure e strumenti di monitoraggio e rilevazione di eventuali vulnerabilità che potrebbero mettere a rischio l’operatività del reparto.

L’Aeronautica Militare ha quindi sottoposto parte delle sue reti telematiche insieme ad alcuni assetti e reparti ad un vero e proprio test di resistenza cibernetica.

L'articolo IA, supercalcolo… Con Cyber Eagle 2024 l’Aeronautica Militare affila le armi per guerra cibernetica proviene da InsideOver.

“Oggi abbiamo chiarito che, indipendentemente da quanto nascoste pensino di essere, le reti criminali non possono sfuggire al nostro sforzo collettivo”. L’esordio della dichiarazione ufficiale di Catherine De Bolle, Direttrice Esecutiva di Europol, ha il sapore del guanto di sfida in pieno stile Far West digitale.

D’altronde l’operazione di ieri è stata davvero una di quelle vittorie che segnano un punto sulla lavagna dei buoni, anche se c’è poco da festeggiare perché il cybercrimine non dorme mai ed è piuttosto vendicativo, come d’altronde sa bene proprio l’Europol. In attesa di un ipotetico contrattacco, però, è bene celebrare la vittoria di una coalizione davvero mondiale che, con una vasta operazione, ha smantellato una piattaforma di comunicazione crittografata che era stata creata per agevolare le comunicazioni tra criminali dediti principalmente al narcotraffico, al riciclaggio di denaro, ma anche a forme di violenza estrema.

Sempre la De Bolle ha dichiarato: “Le forze dell’ordine di 9 Paesi, insieme a Europol, hanno smantellato uno strumento che era una rete di salvataggio per il crimine organizzato grave. Questa operazione è ciò per cui Europol è fatta: trasformare la collaborazione in risultati concreti riunendo le persone, gli strumenti e l’esperienza giusti per affrontare ogni aspetto di questa operazione complessa. Il lavoro svolto fa parte del nostro impegno continuo nel combattere il crimine organizzato ovunque operi”.

La piattaforma, senza troppa immaginazione, si chiamava Ghost, ma questo non è bastato a preservare chi l’aveva scelta per dare libero sfogo ai propri oscuri traffici. Prima di questa operazione, Ghost garantiva caratteristiche di sicurezza effettivamente molto avanzate. Gli utenti potevano accedere al servizio (a pagamento) senza dover dichiarare alcuna informazione personale. L’applicazione utilizzava tre standard di crittografia e offriva l’opzione di inviare un messaggio seguito da un codice specifico, che comportava poi l’autodistruzione. Questo consentiva non solo di comunicare in modo sicuro, ma di eludere il rilevamento e offrire un serio contrasto alle misure forensi.

A livello mondiale, Ghost era utilizzata da qualche migliaio di persone. Fino a ieri, ancora un migliaio di messaggi venivano scambiati attraverso questo strumento che aveva una propria infrastruttura, delle applicazioni e una rete di rivenditori sparsi in diversi Paesi. Confiscato un milione di euro in contanti, chiuso un laboratorio di droga, diverse vite salvate. 51 gli arresti, uno anche in Italia: un pregiudicato legato alla Sacra Corona Unita. Secondo il comunicato stampa ufficiale, altri arresti verranno effettuati nei prossimi giorni, forse anche nelle prossime ore, questo a significare che l’indagine è tutt’altro che chiusa.

Una rete articolata, quella di Ghost: i server si trovavano in Francia e Islanda; i proprietari della società in Australia e le attività finanziarie erano negli Stati Uniti. La task force operativa ha fatto base presso Europol, dove hanno cooperato le polizie di Stati Uniti, Australia, Canada, Francia, Irlanda, Italia, Paesi Bassi, Svezia e Italia.

Un’indagine difficile, dal momento che a seguito di precedenti operazioni di polizia, le reti di comunicazione crittografate hanno subito una naturale evoluzione, mettendo in discussione i vecchi metodi d’indagine, dove per “vecchio” si può intendere un metodo maturato pochi mesi prima. D’altronde, le soluzioni tecniche hanno di fronte uno sviluppo pressoché illimitato, soprattutto adesso con l’avvento dell’Intelligenza artificiale. Non è un caso, infatti, che molte organizzazioni criminali puntino ormai ad affiliare non tanto dei pistoleri, ma degli hacker.

C’è forse una soluzione? No. Si tratta della naturale evoluzione del mondo, crimine compreso. Ed è bene cominciare a farci l’abitudine.

L'articolo Così Europol ha smantellato Ghost, la piattaforma cyber del crimine organizzato proviene da InsideOver.

Condividere le informazioni con rapidità: ecco il primo passo per sconfiggere organizzazioni di cyber criminali sempre più strutturate per resistere all’azione di contrasto. Un’azione che trova la sua efficacia soprattutto quando si fa gruppo, quando questa difesa non è appannaggio di un solo Stato ma diventa “sistema”. Sta proprio qui il senso della creazione, in seno all’Agenzia per la cyber sicurezza Nazionale, dell’ISAC Italia (Information Sharing and Analysis Center). Di cosa si tratta? L’ISAC Italia è il Centro nazionale per l’analisi e la condivisione di informazioni in ambito cyber, una struttura che è parte integrante dello European Cybershield previsto dall'” EU Cybersecurity Strategy for Digital Decade”, che mira a creare una rete europea di ISAC e di Security Operations Center (SOC), che andranno ad affiancare la già esistente CSIRT network. L’ISAC Italia ha anche il ruolo di facilitare la creazione di ISAC settoriali (a partire, per esempio, dal panorama vasto della Pubblica amministrazione), fornendo linee guida e riunendo le diverse entità in un unico network insieme a quelli già esistenti sul territorio nazionale.

Una rete interconnessa

Gli ISAC si configurano come organizzazioni senza scopo di lucro, finalizzate allo scambio di informazioni e conoscenze in ambito cyber. La loro costituzione promuove la cooperazione e la collaborazione tra partecipanti, incoraggiando la creazione di un ambiente di fiducia in cui sia possibile condividere esperienze e informazioni su minacce, vulnerabilità e lezioni apprese in relazione alla sicurezza informatica. All’interno di un ISAC settoriale, infatti, sarà possibile mettere a fattor comune esperienze e capacità nella gestione dei rischi e minacce cyber.

La forza della condivisione

In poche parole, ISAC Italia si pone quale interfaccia unica tra i servizi offerti dall’ACN e le esigenze tra i diversi settori, offrendo agli ISAC settoriali affiliati alla rete nazionale servizi di analisi, capacity building e info-sharing attraverso canali di fiducia sicuri e riservati. I contenuti informativi saranno caratterizzati da pubblicazioni, analisi settoriali, linee guida sulla gestione della governance e del rischio cyber, sulle minacce di sicurezza informatica e sul contesto normativo vigente.

Gruppi di lavoro, training, seminari e conferenze saranno ulteriori elementi offerti per rafforzare le capacità di prevenire, identificare, mitigare e contrastare rischi e minacce informatiche attuali ed emergenti.

L'articolo Uno scudo europeo per sconfiggere il cybercrime proviene da InsideOver.

Negli ultimi anni si è registrata una vera escalation di cyberattacchi la cui natura può variare, ma che di solito hanno sempre una motivazione: il denaro. In particolare, nel corso dell’ultimo decennio vi sono state vere Waterloo digitali che hanno permesso enormi passi avanti in temi di cybersicurezza, ma che, allo stesso tempo, hanno esposto milioni di utenti a rischi raramente percepibili come tali, eppure estremamente reali.

Ecco allora una classifica, di certo parziale, dei 10 peggiori attacchi informatici degli ultimi dieci anni.

1. 2013: l’attacco informatico a Target Corporation, catena di grandi magazzini statunitense, porta alla compromissione di circa 40 milioni di carte di credito e di debito e di circa 70 milioni di dati personali come nomi, indirizzi, numeri di telefono ed email. Si tratta di uno dei più imponenti furti di dati della storia degli Stati Uniti, che provocò all’azienda un danno finanziario enorme tanto per i costi di ripristino dei sistemi, quanto per le azioni legali dei clienti che si videro svuotati i conti.

2. 2013: un altro attacco arriva a stracciare il record segnato da quello sferrato contro Target Corporation. A finire nel mirino dei cyber criminali stavolta è Yahoo!, e la compromissione coinvolge 3 miliardi di account, con un furto di informazioni che comprendeva nomi, indirizzi mail, numeri di telefono, date di nascita e password criptate. L’attacco venne reso noto dall’azienda leader nel settore delle comunicazioni solamente nel 2016.

3. 2014: hacker che saranno poi identificati come provenienti dalla Corea del Nord (anche se “identificare” qualcuno in questi casi è un parolone) attaccano Sony Pictures Entertainment. In questo caso, l’attacco non ha motivazioni finanziarie ma ha il sapore della rappresaglia. Cinque film non ancora usciti nelle sale finiscono in rete e dietro le ragioni di questa azione si pensa vi sia l’annuncio dell’uscita di un film – The interview – in cui si racconta di un piano per assassinare Kim Jong-un.

4. 2015. Un attacco di altissimo profilo al sito di incontri Ashley Madison crea il panico tra gli utenti. Il gruppo hacker Impact Team, infatti, penetra i server del sito e diffonde i dettagli personali di milioni di utenti, determinando, tra le altre cose, la fine di molti matrimoni. Secondo diverse fonti reperibili in rete, almeno 30 persone si sarebbero suicidate a seguito di questo attacco.

5. 2017, maggio. Fa la sua comparsa sulla scena digitale un ransomware passato alla storia: WannaCry. Nato probabilmente nei laboratori nord coreani, il ransomware sfrutta un exploit in grado di sfruttare una vulnerabilità di Microsoft Windows chiamato EternalBlue. Sviluppato dall’NSA statunitense, EternalBlue viene trafugato da un gruppo hacker che si fa chiamare The Shadow Brokers. Il frutto di questa azione da film di spionaggio è una vera pandemia globale che infetta 230.000 computer in 150 paesi. A interrompere la diffusione incontrollata del malware, un ricercatore britannico di 22 anni.

6. 2017, giugno. Nonostante Microsoft fosse intervenuta per sanare la vulnerabilità, emerge dagli abissi della rete un altro ransomware che, sfruttando la stessa vulnerabilità, se possibile fa più danni – soprattutto a livello economico – del cugino WannaCry. Stiamo parlando di NotPetia, uno strumento pensato non tanto per criptare i dati di un server a fini estorsivi, quanto piuttosto per distruggere. E lo fa decisamente bene. I primi a essere messi in ginocchio sono i sistemi di molte aziende ucraine, il che lascia pensare a una possibile matrice russa, anche se non vi sono certezze a riguardo. In breve, NotPetia si diffonde in tutto il mondo, interessando 60 paesi e causando danni per centinaia di milioni di dollari. Ad oggi, un record ancora intatto. Tra le infrastrutture critiche colpite, basti citare la centrale nucleare di Chernobyl.

7. 2017, settembre. Equifax, società americana di controllo del credito dei consumatori, subisce un furto di dati che compromette le informazioni di 143 milioni di cittadini, tra cui parecchi canadesi e britannici. I vertici dell’azienda puntarono il dito contro gli hacker cinesi, ma, come sempre, capire chi veramente si nascondesse dietro gli schermi è difficile, se non impossibile. Quello che è certo è che in questo caso, come in molti altri simili, è emersa l’incapacità da parte dei vertici aziendali di gestire correttamente l’emergenza.

8. 2018, è il turno di Facebook. 30 milioni di profili coinvolti in quello che diventa uno dei furti di dati più pubblicizzati della storia. Gli hacker, la cui provenienza resta a tutt’oggi un mistero, entrano in possesso di 400 mila token, ovvero parti di codice che permettono ai legittimi proprietari di un profilo di restare collegati alla piattaforma social senza digitare ogni volta le proprie credenziali. Numeri di telefono, indirizzi mail e altri dati vengono trafugati. In questo caso, la risposta dell’azienda sarà pronta e trasparente verso gli utenti.

9. 2020. Il più grave attacco di quest’anno è quello sferrato alla piattaforma Orion di SolarWinds, azienda di applicazioni informatiche statunitense, dal gruppo hacker di matrice russa APT29. Grazie alla diffusione di un malware in un aggiornamento, gli hacker riescono per mesi a spiare enti governativi americani e aziende di altissimo livello in tutto il mondo, Italia compresa. Una delle più grandi azioni di cyber spionaggio della storia.

10. 2021. Quando si dice “un gigante dai piedi di argilla”. Un profilo che si adatta perfettamente a Colonial Pipeline, il più grande sistema di oleodotti petroliferi degli Stati Uniti, vittima di un devastante attacco da parte di un gruppo ransomware chiamato Darkside. L’attacco di per sé non provoca troppi danni, ma obbliga i vertici dell’azienda a bloccare completamente l’attività per debellare il malware, mettendo in ginocchio la costa Est degli Stati Uniti per almeno due settimane, con i benzinai costretti a razionare il carburante.

Questi dieci casi sono solo la punta dell’iceberg. Ogni giorno piccole, medie e grandi aziende finiscono vittime di attacchi cyber, così come i singoli utenti. Un panorama composito di truffe sempre più articolate e difficili da prevedere, un giro di affari miliardario, una vera e propria economia parallela che orami è da paragonare a quella del narcotraffico o del mercato delle armi. L’unica arma a nostra disposizione, al di là di Firewall o antivirus di ultima generazione, siamo noi stessi, il nostro sesto senso. E a volte non basta neanche quello.

L'articolo I 10 peggiori cyber attacchi degli ultimi anni, dalle carte di credito ai film della Sony proviene da InsideOver.

“Hai ricevuto un MMS sospetto? Il tuo telefono, probabilmente, è già stato violato”. Con questa frase inquietante comincia un post pubblicato sulla pagina Linkedin di Clio Security, azienda attiva nel ramo della sicurezza informatica presieduta da Michael Clemente, che più volte abbiamo intervistato sul tema. In un momento storico decisamente particolare e in un contesto in cui manca completamente una cultura digitale in grado di proteggere gli utenti per lo più ignari delle minacce che si nascondono nei meandri della rete, Clio Security, attraverso i propri canali, mira a sensibilizzare il pubblico dei “non addetti ai lavori” puntando su una comunicazione semplice ma a forte impatto. E allora, cosa c’entrano gli MMS con il cyber crime?

Una nuova minaccia in vendita nel Darkweb

Presto spiegato. Il post pubblicato lo scorso 31 luglio continua: “𝐔𝐧 𝐧𝐮𝐨𝐯𝐨 𝐞𝐱𝐩𝐥𝐨𝐢𝐭 𝐙𝐞𝐫𝐨-𝐂𝐥𝐢𝐜𝐤 𝐑𝐂𝐄 è 𝐢𝐧 𝐯𝐞𝐧𝐝𝐢𝐭𝐚 𝐩𝐞𝐫 5 𝐦𝐢𝐥𝐢𝐨𝐧𝐢 𝐝𝐢 𝐝𝐨𝐥𝐥𝐚𝐫𝐢. Il 16 giugno, un hacker con lo pseudonimo di “Sp3ns3r” ha annunciato la vendita di un exploit Zero-day per l’esecuzione remota di codice (RCE) su BreachForums”. Tradotto: l’exploit, in informatica, è una vulnerabilità software. Se poi è “Zero day”, significa che non è mai stata rilevata prima. L’esecuzione remota sta a significare che la vulnerabilità può essere attivata a distanza. Il fatto che questa, poi, sia in vendita su uno dei principali black market attualmente presenti sul Darkweb non è poi una cosa tanto eccezionale. A essere eccezionale, piuttosto, è l’importo chiesto dall’hacker. Continuiamo a leggere il post di Clio Security.

Quando lo ricevi è già tardi

“Nell’annuncio, è stata sottolineata la facilità dell’attacco, evidenziando la natura Zero-Click dell’exploit. Questo significa che 𝐩𝐞𝐫 𝐞𝐬𝐞𝐠𝐮𝐢𝐫𝐞 𝐢𝐥 𝐜𝐨𝐝𝐢𝐜𝐞 𝐧𝐨𝐧 è 𝐧𝐞𝐜𝐞𝐬𝐬𝐚𝐫𝐢𝐨 𝐚𝐥𝐜𝐮𝐧 𝐢𝐧𝐭𝐞𝐫𝐯𝐞𝐧𝐭𝐨 𝐝𝐚 𝐩𝐚𝐫𝐭𝐞 𝐝𝐞𝐥𝐥’𝐮𝐭𝐞𝐧𝐭𝐞. Secondo l’hacker, l’exploit è compatibile con i sistemi operativi Android delle versioni 11, 12, 13 e 14, dimostrando la sua efficacia su qualsiasi dispositivo Android. Il potenziale di danno di questo exploit è estremamente elevato”. Un exploit “Zero click” è particolarmente insidioso proprio perché, come specificato nel post, non c’è bisogno di alcuna interazione da parte della vittima. E ora arriviamo al cuore del problema: come si diffonde questa minaccia?

“Il metodo principale di diffusione indicato è tramite messaggi MMS (Multimedia Messaging Service). Il semplice fatto di ricevere un messaggio di questo tipo potrebbe già compromettere il dispositivo. La natura RCE dell’exploit significa che un malintenzionato remoto, una volta compromesso il dispositivo, potrebbe eseguire qualsiasi comando sul dispositivo infettato”.

Il valore del crimine

“L’exploit – si legge ancora nel post – è stato messo in vendita per la cifra record di 5 milioni di dollari. Inoltre, su richiesta, l’hacker fornisce una prova di concetto (PoC) per dimostrare le capacità dell’exploit. Il precedente record recente per il costo di un exploit venduto era detenuto da una vulnerabilità RCE in Microsoft Outlook, il cui exploit era stato messo in vendita sulla stessa BreachForums per 1,7 milioni di dollari. Ora, questo record è stato ufficialmente battuto”.

Istruzioni per la sopravvivenza

E fino a qui, le cattive notizie. Gli analisti di Clio Security, però, forniscono anche le linee guida per tutelarsi e rendere la minaccia inoffensiva. Dunque prendete appunti: “Per proteggere i propri dispositivi Android dal nuovo attacco Zero-Click, è possibile disabilitare il download automatico di MMS nelle impostazioni dei messaggi. Nelle impostazioni di Google Messaggi, questo si fa seguendo questi passaggi: Cliccare sul proprio avatar —> Impostazioni di Messaggi —> Avanzate —> Download automatico degli MMS (spostare l’interruttore su “Off”). Rimanete vigili, aggiornate tempestivamente il software e seguite le raccomandazioni di sicurezza informatica per proteggere i propri dispositivi e dati”.

L'articolo Cybercrime: hai ricevuto un MMS? Forse è già troppo tardi proviene da InsideOver.

In Europa a certificarlo è stato l’Europol, negli Stati Uniti è invece comparso uno studio dell’Università del Minnesota: il trend degli ultimi anni parla chiaro. L’obiettivo principale, la preda più ghiotta per le gang di cybercriminali che imperversano in rete sono le aziende ospedaliere. E questo per diverse ragioni.

Gli attacchi ransomware puntano a bloccare i sistemi crittando il contenuto dei server. A quel punto scatta l’estorsione e, in caso di mancato pagamento, l’esfiltrazione dei dati che finiscono come di norma in vendita nei black market presenti nel Darkweb.

Lo studio dell’Università americana è particolarmente interessante, perché ha indagato l’impatto che questo tipo di attacchi produce sul lavoro dei medici. Secondo il report, durante un attacco il carico di lavoro si riduce del 17-25% e ad essere colpiti maggiormente sono i reparti di emergenza, con cali di entrate che possono raggiungere percentuali del 41%.

Ovviamente questo comporta un aumento della mortalità ospedaliera. Certo, non numeri particolarmente elevati, ma comunque un dato che fa riflettere. I pazienti ricoverati nel corso di un attacco hanno una probabilità di morire in aumento dello 0,77%. Se poi l’attacco è particolarmente grave e arriva a bloccare il normale flusso delle ambulanze in entrata e in uscita, la percentuale aumenta significativamente all’1,87%.

Il trend degli attacchi alle strutture ospedaliere ha visto un’impennata, a livello globale, con la Pandemia da Covid-19 e, da quel momento, è stato un crescendo. Parlavamo, all’inizio dell’articolo, dei motivi per cui gli ospedali rappresentano una preda ghiotta. Innanzi tutto per la facilità con cui si riesce a paralizzare l’intera infrastruttura attaccata. Nella maggior parte dei casi, parliamo di infrastrutture estremamente datate, senza alcun tipo di compartimentazione interna, motivo per cui un attacco riesce a dilagare in tutti i sistemi in pochissimo tempo. A questo, va aggiunta una generalizzata ignoranza in tema di pericoli che si nascondono nei dispositivi elettronici.

Altro fattore determinante la digitalizzazione dei processi interni e di comunicazione con i pazienti (come gli invii di cartelle cliniche). Ma la prerogativa principale che rende gli ospedali le vittime designate dei cybercriminali è uno e soltanto uno: la qualità – e quantità – dei dati da esfiltrare. I dati dei pazienti ospedalieri sono i più ricercati nel Darkweb. Questo per una ragione molto precisa: un paziente è generalmente una persona più fragile della media. Dunque più facile da colpire con un attacco di spear-phishing, ovvero la versione più sofisticata del phishing.

Per fare un esempio, prendiamo il recente attacco subito dai laboratori diagnostici SynLab in Italia. Nei giorni seguenti il data breach, con migliaia di dati finiti in vendita nei black market, tanto l’azienda quanto la Polizia postale avevano messo in allerta gli utenti sulla possibilità che i criminali inviassero delle mail con allegati malevoli nascosti dietro falsi risultati di analisi realmente attesi dal ricevente. Ecco, lo spear-phishing è questo. Un attacco mirato, che fa leva su una conoscenza capillare della vittima.

Insomma, alla fine di tutto si tratta sempre e soltanto di lavorare alacremente sulla costruzione di una cultura della sicurezza digitale che renda il lavoro dei cybercriminali più difficile di quanto non sia ora. Anche perché sono tutti concordi nel ritenere che il fenomeno non conoscerà pause e, anzi, subirà un incremento negli anni a venire.

L'articolo Perché gli ospedali sono il primo obiettivo dei cybercriminali proviene da InsideOver.

Non si è trattato di un attacco. Eppure, la scala globale del disastro ha fatto immaginare nei primi momenti qualcosa di molto vicino a un’azione terroristica di stampo inedito. Perché qualcosa del genere, fino ad oggi, non era mai avvenuta. Non si era mai registrata una catastrofe cyber di questa portata.

Effetto domino

I fatti sono ormai noti: un bug nell’aggiornamento della suite Falcon di CrowdStrike, uno degli strumenti di cybersecurity più utilizzati al mondo, ha generato un effetto domino disastroso, bloccando in tutto il mondo migliaia di server, con ripercussioni pesanti sul traffico aereo, sulle comunicazioni, sui trasporti in generale. In Italia si è subito attivata la Polizia postale, in particolare il Cnaipic, per monitorare la situazione delle nostre infrastrutture critiche.

Nello scenario globale, il nostro Paese è stato in larga parte risparmiato dalla Pearl Harbour digitale. Questo perché l’anti-malware di CrowdStrike da noi non è così diffuso (e questa, come vedremo, non è necessariamente una buona notizia). A distanza di più di 24 ore dal disastro – le cui ripercussioni è presto per valutare – abbiamo parlato di cosa è successo – e di cosa accadrà – con Michael Clemente, esperto di cybersecurity e Ceo di Clio Security.

Non è finita qui

“Quello che è successo è sotto gli occhi di tutti, ma quello che può ancora succedere non lo sappiamo, perché al momento non sappiamo se tutte le diverse versioni dei sistemi operativi Windows siano a rischio. Per ora sappiamo solo che alcune centinaia di migliaia di dispositivi sono stati colpiti. L’impatto è stato così devastante perché i sistemi operativi, di fronte a questo bug, sono andati in modalità blue screen, una modalità di protezione che impedisce l’interazione dell’utente. Per ripristinare la situazione, serviva riavviare il dispositivo con una procedura che escludesse l’Update dell’antivirus e che ci ha riportati agli anni Cinquanta”.

Responsabilità umana?

In uno scenario simile viene da farsi una domanda: di chi è la responsabilità di quanto accaduto? Quali teste cadranno?

“Premesso che CrowdStrike ha ammesso la propria responsabilità – ci dice Clemente – quello che può essere successo è che si è trattato di un incidente di processo: prima di arrivare al problema tecnologico, a monte ragionevolmente è saltato qualcosa. CrowdStrike è un’azienda con una capitalizzazione di 86 miliardi di dollari, circa 5 mila dipendenti, di cui più della metà collegati allo sviluppo e al mantenimento del software. Avranno almeno un centinaio di addetti alla parte di test, di qualità e di compliance. Si può ragionevolmente pensare che qualcosa, all’interno di uno di quei team, dev’essere andato storto nella fase di test. Questi test o erano incompleti o è sfuggito qualcosa e quando è uscito l’Update non era stato verificato. L’alternativa – che sarebbe assurda – è che abbiano diffuso l’Update consapevoli che qualcosa non andasse. Ma, lo ripeto e lo sottolineo, è un’ipotesi del tutto irragionevole”.

Quindi la responsabilità è umana?

“Non so dire quanta parte del processo sia automatizzata. Gran parte dei test vengono svolti dai tool, alcuni sono svolti dall’Intelligenza artificiale, l’uomo controlla l’esecuzione. Quindi potrebbe essere un errore umano, ma anche l’errore di un sistema automatizzato”.

Italia salva per arretratezza digitale

Una tua valutazione su quanto accaduto? Perché in Italia ci siamo “salvati”?

“Sicuramente questa cosa è grave. Il paradosso è che il più grave incidente di sicurezza sia partito da un’azienda di cybersecurity. E non una qualunque, ma l’azienda più diffusa, più forte, più credibile. In Italia gli effetti sono stati pochi perché questo è un prodotto top di gamma. Ha un costo, per ogni singola licenza, molto elevato, soprattutto rispetto ai prodotti di fascia medio-bassa. Le aziende italiane, notoriamente, non hanno un budget dedicato alla cybersecurity che consenta di accedere a questo prodotto. I disservizi in Italia hanno interessato quasi esclusivamente colossi infrastrutturali, mentre le realtà più piccole sono rimaste sostanzialmente indenni”.

La nostra fortuna, in pratica, è dipesa dal fatto che la cybersecurity da noi non è di casa. Eppure lo dovrà diventare. E anche molto presto. A ottobre ci dovremo adeguare alla normativa europea NIS2. Da quel momento, la cybersecurity non sarà più una scelta, ma un obbligo e, per chi non si adegua, le sanzioni sono pesantissime.

“La NIS2 – ci spiega Michael Clemente – parla proprio di questi scenari e di come si dovrebbe riuscire a tutelare l’operatività dei sistemi. La prova generale, se così la vogliamo intendere, è andata male. Il sistema è caduto “.

Una lezione importante

E lo scenario che si prospetta – secondo il Ceo di Clio Security – non è roseo: “Oggi è stato CrowdStrike, domani potrebbe accadere qualcosa del genere con un fornitore di un servizio Cloud. Questi sono i primi segnali che ci arrivano. Il mercato del Cloud è in mano a tre società: Amazon, Google e Microsoft. Se una cosa del genere accadesse, quali sarebbero gli impatti? Siamo sicuri di voler continuare su questa strada? Quello che si vede è un predominio del software, che poi è un predominio americano; le alternative sono sempre meno. Quando si fa un investimento, il consiglio è di non mettere tutte le uova nello stesso paniere. Ecco, nella cybersecurity stiamo facendo proprio questo”.

In conclusione, quanto accaduto ha dimostrato in modo lampante che le aziende non sono pronte a uno scenario del genere. E non solo in Italia. Di fronte a un apocalisse cyber del genere, si è bloccato tutto. E, per una volta (che non necessariamente sarà l’ultima), il mondo oltre lo schermo è sconfinato nel mondo reale, con tutte le conseguenze del caso.

L'articolo Apocalisse cyber: l’alba del giorno dopo proviene da InsideOver.

Navigando sotto la superficie del web visibile – il Deepweb, ovvero la parte non indicizzata dai motori di ricerca – si fanno incontri interessanti. Era già da un po’ di tempo che, con l’aiuto degli esperti della Clio Security, cercavamo di avvicinare in questa zona franca qualche hacker disposto a raccontarci in cosa consiste il suo lavoro.

Intervista all’hacker ninja

Superando ogni più rosea aspettativa, abbiamo trovato il nostro hacker. E non un hacker qualsiasi, ma un hacker russo. Non è stato facile vincere la naturale diffidenza di una persona abituata a muoversi con circospezione nel regno anarchico del web, dove imperversano sì gli hacker, ma anche gli agenti sotto copertura di mezzo mondo. Alla fine ci siamo riusciti, abbiamo ottenuto la nostra intervista, con la promessa di mantenere l’anonimato della nostra fonte russa. Per prima cosa gli abbiamo chiesto come definirebbe il suo “stile” di hacking: “Rompere e devastare, come diciamo in Russia! Per lo meno così poi va a finire. Ma, per quanto riguarda il processo, descriverei il mio stile di lavoro come ninja-hacking, dove gli obiettivi vengono raggiunti in modo assolutamente impercettibile ma con una velocità estremamente elevata”.

Tocca la Russia e sei morto

Rotto il ghiaccio da ambo le parti, gli abbiamo chiesto se fosse consapevole che lui e i suoi colleghi in Occidente hanno una pessima reputazione. Di solito, “hacker russo” è sinonimo di criminale. “Ne sono consapevole”, ci ha risposto, “infatti lavoro esclusivamente contro l’Occidente“. E poi la confidenza che ci ha lasciati alquanto perplessi: “Di solito per tutti, non solo per i russi, lavorare contro la Russia equivale alla morte“. Che dire, decisamente tranchant. Speriamo di non doverlo scoprire mai. La nostra fonte è poi tornata sulla definizione di hacker: “In generale, il termine hacker è sinonimo di “criminale”. Posso dire, come patriota, che gli hacker russi sono i migliori al mondo, anche se ci sono concorrenti diretti che non solo rispetto ma ammiro molto per il loro lavoro e i loro progetti”.

La “leggenda” degli hacker russi

Più volte ci è capitato di parlare degli hacker russi, interrogandoci sull’origine della leggenda in cui sembrano pienamente inseriti. Abbiamo approfittato per chiedere a lui i motivi di questa fama. Davvero gli hacker russi sono un passo avanti agli altri?

“Personalmente, ho iniziato a vedere la popolarità dell’espressione “hacker russo” dopo la vittoria di Donald Trump alle elezioni negli Stati Uniti, e penso che molti altri abbiano fatto lo stesso. Ma, senza dubbio, gli hacker russi sono i migliori al mondo, secondo la mia opinione, poiché, come ho già detto, sono un patriota. In secondo luogo, le condizioni di vita in Russia sono tali che molti cercano di sopravvivere, non di vivere. Pertanto, cercano strade alternative, pensano alle loro azioni in anticipo e, senza dubbio, la conoscenza della parte tecnica è stata sempre la base dell’hacking. Non posso rispondere a questa domanda senza citare una persona della nostra comunità: “Un hacker cerca, un pentester segue”.

Ci sono almeno tre spunti interessanti in questa risposta: il primo è che gli stessi russi hanno iniziato a percepire in modo diverso la loro fama a seguito del cosiddetto “Russiagate“, la spy-story internazionale in cui l’aspetto cyber ha avuto un ruolo non secondario. Il secondo è che a spingere molti russi a diventare hacker sono le condizioni di vita. Quel “sopravvivere” vale più di mille parole. Il terzo spunto rientra nell’ambito della cybersecurity ed è una sorta di rivendicazione dove non manca una buona dose di sana presunzione: i “pentester” sono gli esperti di sicurezza informatica che effettuano i “penetration test“, una delle tecniche utilizzate per testare la tenuta dei sistemi informatici di un’azienda o di chiunque richieda il servizio.

Occhio ai cinesi

Tuttavia non esistono solo i russi. Sappiamo che altre nazioni si collocano su un piano assolutamente competitivo quando si tratta di hacking. Abbiamo dunque chiesto al nostro di che nazionalità siano gli hacker in grado di competere con i russi. Ne abbiamo tratto una conferma e una sorpresa: “Penso solo i cinesi e alcuni indiani (solo alcuni)”. Abbiamo insistito: quali sono i cybercriminali più pericolosi?

“Non è una domanda del tutto corretta. Se parliamo di nazionalità, direi i russi. Non esiste un ostacolo insormontabile per noi, per raggiungere un obiettivo o ottenere dati “speciali” di interesse faremmo tutto il possibile e anche di più. Se parliamo di tipi di attività, gli hacker che attaccano le reti sono i più pericolosi“.

Il Cremlino dietro le cyber gang

Quando in Europa, ma potremmo tranquillamente dire nel mondo, avviene un cyber attacco, si attribuisce quasi sempre la colpa agli hacker russi, dando per buono che agiscano su mandato del governo. Anche questa è una leggenda metropolitana o c’è un fondo di verità? “Nessun hacker russo può definirsi tale senza aver lavorato per il governo. Spero che questa intervista sia completamente anonima, ma diciamo che, anche se lavori come hacker e pensi che tutti i tuoi amici siano come fratelli, uno di loro sarà sempre una persona del governo o di altri organi”. Ovviamente non possiamo pretendere che questa risposta confermi che tutti gli hacker russi lavorino su mandato del Cremlino, tuttavia è evidente che la presenza tra le loro fila di uomini d’apparato – molti dei quali provenienti da apparati spionistici – è importante.

Cyberwarfare

Parlando di Stati, a inizio intervista il nostro ci ha confermato che effettivamente lui lavora solo verso obiettivi occidentali. Questo significa che ha attaccato qualche Stato? “Sì, e consapevolmente. Non sostengo assolutamente l’operazione militare speciale [la guerra in Ucraina] e tutto il sangue versato. Personalmente vorrei che tutto questo finisse il più presto possibile e che tutti vivessero in pace. Ma sì, ho lavorato per aiutare i nostri soldati nell’operazione militare speciale, ad esempio per alcune centrali nucleari, fornendo informazioni sulle posizioni dei nemici“. Una conferma di come anche in campo bellico la componente cyber sia diventata importante.

Italia: obiettivo sensibile?

E per quanto riguarda l’Italia? Il nostro hacker ha avuto esperienze di lavoro con il nostro Paese? E qual è il livello di sicurezza informatica delle nostre infrastrutture, secondo il suo parere? “Certamente, ma per caso. Personalmente, l’Italia non mi interessa dal punto di vista dell’hacking. Il livello di sicurezza delle infrastrutture? È simile a quello della maggior parte dei paesi dell’UE. Avete standard unificati che, secondo i nostri criteri, sono piuttosto comuni e vengono superati senza grossi problemi a causa della loro stabilità (dite sempre che amate la stabilità)”. Quindi l’Italia non è un obiettivo sensibile nei piani russi? “No, principalmente perché è un Paese lontano dal centro delle decisioni e non molto ricco. Gli Stati Uniti e il Canada sono obiettivi molto più efficaci da hackerare”.

Gli abbiamo poi chiesto se, nello specifico, sapesse dirci qualcosa sul livello tecnico degli hacker nostrani: “Non lo so, non ho mai lavorato in un team o personalmente con hacker italiani, ma penso che sarebbe interessante, almeno per condividere esperienze e conoscenze”.

Lo stipendio di un cyber criminale

Veniamo ai soldi: quanto guadagna un hacker come lui? E da chi viene pagato? “Chi paga non lo dirò, ma, diciamo, dividiamo i guadagni tra il team. Il guadagno medio è di circa 20.000 dollari al mese, ma dipende da cosa si hackera e come si lavora. Personalmente, non mi allontano mai dal computer ma penso che in futuro i miei guadagni aumenteranno significativamente”.

La classifica dell’hacker

Qual è stata, a suo giudizio, l’operazione di hacking più significativa degli ultimi anni? “La più significativa? Non ce ne sono di particolari, tutte sono assolutamente significative, indipendentemente dalle dimensioni e contro chi siano stati effettuati gli attacchi. Tra quelle che mi hanno interessato e piaciuto di più, posso citare l’hack di Tencent, tutto il lavoro di Ryuk, ALPHV, Donut e Ragnar“.

Tencent è una società d’investimenti cinese. Sinceramente si tratta della prima volta che sentiamo parlare di questo operazione di hacking. Di certo, se effettivamente un attacco c’è stato, i media cinesi si saranno ben guardati dal diffonderne la notizia. Ryuk è un ramsonware che anche in Italia ha creato non pochi problemi e la cui paternità russa ci viene confermata; ALPHV è un altro nome per riferirsi alla cyber gang russa più nota con il nome di BlackCat; Donut leaks è stato un sito, una sorta di black market, in cui venivano pubblicati dati esfiltrati dai ramsonware; Ragnar Locker, infine, è tanto il nome di un ramsonware quanto di una cyber gang sgominata da un’operazione internazionale di polizia nel 2023.

Abbiamo ringraziato la nostra fonte per le preziose informazioni che ha scelto di condividere con noi e l’abbiamo lasciato immergersi nuovamente nei bassifondi della rete. Sperando di non incrociare la sua strada, se non per una seconda intervista.

L'articolo Parla un hacker russo: “20 mila dollari al mese ma se sgarri sei morto” proviene da InsideOver.